Автоматизация или риски: вечный конфликт ИБ и ИТ-специалистов

В одной из статей мы уже писали о болезненной для любого ИБ-специалиста теме – о проблемах, с которыми приходится сталкиваться в попытках выстроить процессы обеспечения безопасности (и зачастую это не просто уязвимости и угрозы извне). Сегодня мы расскажем, как безопасникам найти общий язык с айтишниками и начать работать над общей целью.
Автоматизация или риски: вечный конфликт ИБ и ИТ-специалистов

Информационные технологии и информационная безопасность – важнейшие компоненты успешной работы абсолютно любой организации. И даже несмотря на то, что подразделения ИТ и ИБ объединяет общая цель – предоставление услуг или продуктов, которые помогут решить бизнес-задачи организации, не добавив при этом рисков – между ними наблюдается некое противоборство, столкновение интересов.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Одной из задач ИТ является автоматизация бизнес-процессов/производства, в том числе под этим понимается ускорение и упрощение многих процедур и процессов в организации. При этом подразделение ИБ несёт ответственность за то, чтобы внедрение передовых информационных технологий не привело к существенным угрозам для бизнеса и утечкам конфиденциальной информации. Поэтому рано или поздно возникает вопрос: как разделить и одновременно согласовать действия данных служб?

Нередко проблема взаимодействия ИТ и ИБ-специалистов кроется в неправильно выстроенной организационной структуре. Конфликт обостряет не только вопрос подчинения и «решающего слова», но и бюджетирование. Существует 3 способа организации подчинения, каждый из которых имеет свои преимущества и недостатки.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Специалисты информационной безопасности – часть службы информационных технологий

Лучшее, что можно и нужно вынести из этой структуры – это тесная интеграция и мгновенная реализация в рамках ИТ-проектов вопросов безопасности. При таком раскладе требования безопасности могут учитываться напрямую в концепции развития ИТ и в планировании отдельных проектов.

Однако при таком подходе специалисты информационной безопасности, как правило, работают в «консультационном» режиме, поэтому вопросы безопасности снова отходят на второй план. Еще один недостаток – отсутствие «комплексного» подхода к обеспечению безопасности: нередко у безопасников из службы ИТ возникают трудности с выстраиванием организационных мер защиты информационных ресурсов и непосредственной работой с пользователями.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Подразделение информационной безопасности подчиняется общей службе безопасности

Часто руководители служб комплексной безопасности недостаточно осведомлены в технических вопросах ИБ. Лучшее, что можно и нужно вынести из этой структуры — это интеграция между информационной, экономической, физической безопасностью, а также лёгкая реализация обучения и контроля за пользователями.

При таком подходе также возникает ряд проблем, например, усложнение работы с ИТ-службой и бюджетирование по остаточному принципу.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Оба подразделения подчиняются первому лицу или куратору

ИБ подчиняется первому лицу, либо же назначается общий куратор для ИТ и ИБ от руководства компании, который будет обладать достаточными полномочиями и следить за соблюдением баланса интересов. При таком подходе ИБ становится важной составляющей, нацеленной на развитие бизнеса. Если ИБ – это обособленная структура, то можно построить полноценную систему управления подразделением, взаимодействуя с другими службами. Данный вариант подходит для крупных организаций.

Часто проблема отсутствия сотрудничества кроется в том, что в компании нет документально зафиксированных (на уровне политики) требований безопасности к ИТ-инфраструктуре. Более того, в разработке этих требований обе службы должны участвовать с равной степенью вовлеченности и ответственности. Споры в такой ситуации способствуют поиску решений поставленных задач и вопросов по проектам. Так будут учтены все практические тонкости и выполнены зафиксированные требования. Качественные изменения в ИТ-инфраструктуре также должны согласовываться со службой ИБ.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Руководству компании необходимо утвердить разработанную специалистами политику ИБ и ИТ, разграничивающую функционал и ответственность подразделений. Помимо этого, важно оценить всевозможные риски, а также своевременно проводить аудит систем управления.

В качестве еще одного решения конфликта можно рассмотреть перевод части сервисов на аутсорсинг или внешнее облако, то есть обеспечить наличие третьей стороны. Организациям следует идти по пути новейших технологий, подходов и концепций развития, которые стирают грань между предоставлением сервиса и его защитой, предлагая надежные системы и средства, способные эффективно решать задачи ИТ. И не стоит забывать, что сейчас есть NGFW, DevSecOps и другие технологии, которые помогают интегрировать информационную безопасность на начальных этапах разработки и внедрения бизнес-сервисов и приложений.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Для каждой стороны будет полезно повышать свои знания в вопросах оппонента. Таким образом ИТ-специалисты поймут, что ИБ – это, в первую очередь, «инструмент» для обеспечения непрерывности бизнеса. А безопасники исключат распространенное убеждение «нет информационных систем – нет угроз ИБ» и смогут адекватно понимать возможные векторы атак, чтобы предложить эффективный подход по обеспечению информационной безопасности. Не блокировать проекты и процессы, а предлагать альтернативные варианты их реализации. На такой подход бизнес реагирует более чем положительно.

Материал подготовлен совместно с ГК InfoWatch